NI
Uploaded byNTT DATA Technology & Innovation
995 views

AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)

AWS Organizations連携サービスの罠 (Security JAWS 第26回 発表資料) 2022年8月25日 NTTデータ 奥村 康晃

Embed presentation

© 2022 NTT DATA Corporation [Security JAWS 第26回] AWS Organizations連携サービスの罠 2022/8/25 株式会社NTTデータ 奥村康晃
© 2022 NTT DATA Corporation 2 自己紹介 氏名:奥村 康晃 所属:NTTデータ ビジネスソリューション事業本部 データセンタ&クラウドサービス事業部 役割: - クラウド分野における技術リード - 先進技術のソリューション取り込み 好きなAWSサービス: - Organizations Security JAWS登壇: - Managed Service Provider(MSP)によるマルチOrganizations管理の裏側 - https://www.slideshare.net/nttdata-tech/managed-service-provider- security-jaws-24
© 2022 NTT DATA Corporation 3 本セッションをやろうと思った背景 Organizationsが一般的に利用されることが多くなり、それに伴いOrganizationsと連携が 可能なAWSサービスを使いたいというご相談を受けることが増えてきた あまり検討をされずに使い始めてしまうと、後から設計(設定)変更を余儀なくされたり、使わ れなくなったりという不幸なことが起きてしまう できればこうしたことを未然に防ぎたいと思い、ぜひともノウハウ共有させていただければと、登壇 させていただいた!
© 2022 NTT DATA Corporation 4 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 5 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 6 AWS Organizations連携サービスとは? • AWS Organizations と連携することでマルチアカウントの情報を集約管理したり、一括 制御することができるサービス群 • 現時点で30を超えるAWSサービスがAWS Organizationsと連携が可能 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html • AWSマルチアカウント環境を効率的に集約管理できそうな仕組みではあるが、実運用上ハ マりやすいいくつかの『罠』が散りばめられている • 本セッションでは、セキュリティサービスである下記4つのサービスについて、Organizations 連携サービスの『罠』について、紹介する 1. AWS Config 2. AWS Security Hub 3. Amazon Detective 4. IAM(組織アクティビティ)
© 2022 NTT DATA Corporation 7 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 8 AWS Config Organizationsと連携するとできることは? • 組織のメンバーアカウントのAWS Configで記録しているAWSリソース構成情報をまとめて表示可能 • Configルールの評価結果をまとめて表示することも可能
© 2022 NTT DATA Corporation 9 AWS Configの罠 Organizations連携をしても、組織内のすべてのメンバーアカウントのAWS Configを有効化すること はできないため、一括有効化の方法は別途検討する必要がある。 また同様に、Configルールの一括配布もできないため、一括配布が必要な場合も検討が必要 AWS Cloud AWS Config AWS Cloud AWS Config AWS Cloud AWS Config ・ ・ ・ × 無効→有効 rule rule rule × ルール配布 メンバーアカウント メンバーアカウント Config管理アカウント
© 2022 NTT DATA Corporation 10 AWS Configの罠への対応策 1/2 Config有効化およびConfigルールの配布をAWS純正サービスで実現しようとする場合、AWS CloudFormation StackSetsがオススメ! CloudFormation StackSetsとは? 1つのAWS CloudFormationテンプレートを使用して、複数のAWSアカウントにスタックを作成できる AWS Cloud CloudFormation StackSets管理アカウント Stack Template AWS Cloud AWS Cloud Stack Stack Sets OUや AWSアカウント単位 で指定可能
© 2022 NTT DATA Corporation 11 AWS Configの罠への対応策 2/2 AWS Configの有効化やConfigルールの作成はCloudFormationで実現できるため、 CloudFormation StackSetsを利用することで、組織内のすべてのメンバーアカウントに一律の設定が 可能 https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html
© 2022 NTT DATA Corporation 12 【参考】CloudTrailはOrganizations連携をすると一括有効化が可能 CloudTrailはOrganizations連携を行っていれば、 組織内のすべてのアカウントを一括で有効化が可能です。
© 2022 NTT DATA Corporation 13 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 14 AWS Security Hub Organizationsと連携するとできることは? • 組織のメンバーアカウントのAWS Security Hubの検査結果をまとめて表示可能 • 組織のメンバーアカウントのAWS Security Hubを一括で有効化 A A B B
© 2022 NTT DATA Corporation 15 AWS Security Hubの罠 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。
© 2022 NTT DATA Corporation 16 Organizations連携サービスにおけるアカウントの関係性 1/2 AWS Cloud AWS Cloud AWS Cloud AWS Cloud メンバー アカウント =Linked アカウント 管理アカウント =Payerアカウント Organizations Organizationsは管理アカウントとメンバーアカウントの関係性があり、特に何も設定をしなければ、管 理アカウントに情報が集約されていく ただ、管理アカウントは請求情報などのセンシティブなデータがあるため、極力利用しないのがベストプラク ティス(https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)
© 2022 NTT DATA Corporation 17 Organizations連携サービスにおけるアカウントの関係性 2/2 AWS Cloud AWS Cloud AWS Cloud AWS Cloud 委任管理者 アカウント 管理アカウント =Payerアカウント Organizations メンバーアカウントの中から委任管理者(そのサービスの親となるアカウント)を指定することができる 各サービスで委任管理者を指定することができるため、場合によってはサービスごとに委任管理者が異な ることも起きてしまう。 委任管理者 アカウント サービスA サービスB
© 2022 NTT DATA Corporation 18 AWS Security Hubの罠 1/4 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。 Security HubとDetectiveの 委任管理者を同一アカウントに しておくと・・・ Security HubとDetectiveの例
© 2022 NTT DATA Corporation 19 AWS Security Hubの罠 2/4 Detectiveの詳細画面へ遷移可能
© 2022 NTT DATA Corporation 20 AWS Security Hubの罠 3/4 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。 Security HubとDetectiveの 委任管理者を別々のアカウントに しておくと・・・ Security HubとDetectiveの例
© 2022 NTT DATA Corporation 21 AWS Security Hubの罠 4/4 Detectiveの詳細画面へ遷移不可
© 2022 NTT DATA Corporation 22 別々の委任管理アカウントを指定してしまった場合の影響 すべてのSecurity Hub統合サービスに影響があるわけではなく、 MacieやInspectorではSecurity Hubで実現できなくなる機能が増えるわけではない。 いくつか試した中で機能差分が確認できたものは、DetectiveとGuardDuty。 とはいえ、公式ドキュメントにもSecurity Hub統合サービスの委任管理者は同一アカウントとすべきとい うガイドが出ているため、特に理由がなければ、同一アカウントにそろえておくべき https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-account-restrictions-recommendations.html#securityhub-coordinate-admins
© 2022 NTT DATA Corporation 23 【参考】芋づる式に検討が増えるOrganizations連携サービス Security HubではConfigの有効化が必須なので、芋づる式に検討が必要なサービスが増える このように複数のサービスが利用前提となっているものとして下記があるので、事前に検討が必要。 ※CloudFormation StackSetsは必須ではなく、実運用上必要となることが多いため記載 # サービス名 利用前提サービス 1 AWS Control Tower 5つ (AWS CloudTrail, AWS Config, AWS CloudFormation Stacksets, AWS Single Sign-On, AWS Service Catalog) 2 AWS Firewall Manager 3つ (AWS CloudFormation Stacksets, AWS Config, AWS Resource Access Manager) 3 AWS Security Hub 2つ (AWS Config, AWS CloudFormation Stacksets) 4 AWS Audit Manager 3つ (AWS Security Hub, AWS Config, AWS CloudFormation Stacksets) 5 Amazon Detective 2つ (Amazon GuardDuty, AWS CloudFormation Stacksets)
© 2022 NTT DATA Corporation 24 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 25 Amazon Detective Organizationsと連携するとできることは? • 各メンバーアカウント内の検知情報の集約表示も可能 • 組織に新規追加されたメンバーアカウントのAmazon Detectiveを自動で有効化 A B B B B A A
© 2022 NTT DATA Corporation 26 Amazon Detectiveの罠 1/2 GuardDutyの有効化後48時間経過しないと、Detectiveを有効化できない https://aws.amazon.com/jp/detective/faqs/ この仕様は委任管理者の設定にも有効であり、GuardDutyの委任管理者設定後、48時間経過しな いと、Detectiveの委任管理者設定ができない 管理アカウント 委任アカウント GuardDuty 委任管理 アカウント設定 GuardDuty 有効 48時間 Detective 委任管理 アカウント設定 Detective 有効
© 2022 NTT DATA Corporation 27 Amazon Detectiveの罠 2/2 GuardDuty有効化後48時間経過していない状態で委任管理アカウントを指定すると、 下記のようにエラーが発生。 この制約は、新規追加したAWSアカウントのDetective自動有効化にも適用されるため、組織に新規 追加されたAWSアカウントのDetectiveが有効化されるのには48時間待機が必要
© 2022 NTT DATA Corporation 28 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 29 IAM(組織アクティビティ) Organizationsと連携するとできることは? • 組織内のAWSサービスを最後に利用したAWSアカウントを把握することができる(IAMアクセスアナ ライザーの組織版)
© 2022 NTT DATA Corporation 30 IAM(組織アクティビティ)の罠 一見すごいよさそうに見えるが、対象や操作者はそれぞれかなり粗い粒度でしか見えない 対象:サービスまで(アクションは見えない) 操作者:AWSアカウントまで(IAMレベルでは見えない) 対象 操作者 また、記録されるのはSCPで許可されているサービスのみであるため、 Denyされているサービスへのアクセスを確認するといった用途でも利用ができない
© 2022 NTT DATA Corporation 31 【参考】管理アカウントでしか利用できないサービス IAM(組織アクティビティ)は、管理アカウントでしか利用できないOrganizations連携サービス そのほかにも下記のサービスが管理アカウントでしか利用できない。管理アカウントはSCPによる制御がで きないため、開放する際はIAMポリシーによる厳密な制御が必要 • AWS Artifact • AWS Backup • AWS CloudTrail • AWS Compute Optimizer • AWS Control Tower • AWS Directory Service • AWS Health • AWS Marketplace • AWS Resource Access Manager • Service Quotas • タグポリシー • AWS Trusted Advisor • AWS Well-Architected Tool
© 2022 NTT DATA Corporation 32 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 33 まとめ • Organizations連携サービスの『罠』を紹介 1. Config → 一括有効化やルール配布方法の検討が必要 2. Security Hub → 同一AWSアカウントを委任管理者へ設定しないとすべての機能 を利用できない 3. Detective → 前提サービスであるGuardDutyの有効化後48時間経過しないと、 有効化ができない 4. IAM(組織アクティビティ) → 表示できる情報はかなり粗いものだけ • 現時点では注意ポイントはいくつかあるものの、マルチアカウント環境を集中管理できること のメリットは大きいので、本日紹介した点などを事前に検討いただきながら、ぜひとも積極的 にご活用いただきたい!
© 2022 NTT DATA Corporation

More Related Content

PDF
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
byAmazon Web Services Japan
 
PDF
20210526 AWS Expert Online マルチアカウント管理の基本
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
byAmazon Web Services Japan
 
PDF
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
byAmazon Web Services Japan
 
PDF
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
byAmazon Web Services Japan
 
PDF
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
byAmazon Web Services Japan
 
PDF
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
byAmazon Web Services Japan
 
PDF
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
byAmazon Web Services Japan
 
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
byAmazon Web Services Japan
 
20210526 AWS Expert Online マルチアカウント管理の基本
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
byAmazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
byAmazon Web Services Japan
 
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
byAmazon Web Services Japan
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
byAmazon Web Services Japan
 
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
byAmazon Web Services Japan
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
byAmazon Web Services Japan
 

What's hot

PDF
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
byAmazon Web Services Japan
 
PDF
マルチテナントのアプリケーション実装〜実践編〜
byYoshiki Nakagawa
 
PPTX
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
PDF
20200930 AWS Black Belt Online Seminar Amazon Kinesis Video Streams
byAmazon Web Services Japan
 
PDF
AWSのログ管理ベストプラクティス
byAkihiro Kuwano
 
PDF
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
byAmazon Web Services Japan
 
PDF
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
byAmazon Web Services Japan
 
PPTX
Awsをオンプレドメコンに連携させる
bySyuichi Murashima
 
PDF
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 AWS Shield
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 Amazon Kinesis
byAmazon Web Services Japan
 
PDF
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
byAmazon Web Services Japan
 
PPTX
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
byDaisuke Miyamoto
 
PDF
20191023 AWS Black Belt Online Seminar Amazon EMR
byAmazon Web Services Japan
 
PDF
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
byNTT DATA Technology & Innovation
 
PDF
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2016 AWS CloudFormation
byAmazon Web Services Japan
 
PDF
20190806 AWS Black Belt Online Seminar AWS Glue
byAmazon Web Services Japan
 
PDF
20200826 AWS Black Belt Online Seminar AWS CloudFormation
byAmazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
byAmazon Web Services Japan
 
マルチテナントのアプリケーション実装〜実践編〜
byYoshiki Nakagawa
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
20200930 AWS Black Belt Online Seminar Amazon Kinesis Video Streams
byAmazon Web Services Japan
 
AWSのログ管理ベストプラクティス
byAkihiro Kuwano
 
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
byAmazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
byAmazon Web Services Japan
 
Awsをオンプレドメコンに連携させる
bySyuichi Murashima
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS Shield
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 Amazon Kinesis
byAmazon Web Services Japan
 
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
byAmazon Web Services Japan
 
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
byDaisuke Miyamoto
 
20191023 AWS Black Belt Online Seminar Amazon EMR
byAmazon Web Services Japan
 
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
byNTT DATA Technology & Innovation
 
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS CloudFormation
byAmazon Web Services Japan
 
20190806 AWS Black Belt Online Seminar AWS Glue
byAmazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
byAmazon Web Services Japan
 

Similar to AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)

PDF
セキュリティ設計の頻出論点
byTomohiro Nakashima
 
PDF
Managed Service Provider(MSP)によるマルチOrganizations管理の裏側(Security JAWS 第24回 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Security hub workshop
byRyuhei Shibata
 
PDF
aws-Organizations-aroud
bykota tomimatsu
 
PDF
JAWS DAYS 2018 Community-based Security
byHayato Kiriyama
 
PDF
AWS Organizations
byServerworks Co.,Ltd.
 
PDF
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
byAmazon Web Services Japan
 
PPTX
AWSSummitTokyo2017 SRCセッション振り返り
byShogo Matsumoto
 
PDF
AWS Well-Architected Tool 活用術セミナー セキュリティ編
byNobuhiro Nakayama
 
PDF
AWS Black Belt Online Seminar 2018 ReInvent recap security other
byAmazon Web Services Japan
 
PDF
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
byNobuhiro Nakayama
 
PDF
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
byオラクルエンジニア通信
 
PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
PDF
【IVS CTO Night & Day】AWS Cloud Security
byAmazon Web Services Japan
 
PDF
20190919 よくご相談いただくセキュリティの質問と考え方
byAmazon Web Services Japan
 
PPTX
PenTesterが知っている危ないAWS環境の共通点
byzaki4649
 
PDF
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
bySORACOM, INC
 
PDF
20191125 Container Security
byAmazon Web Services Japan
 
PDF
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
byAmazon Web Services Japan
 
PDF
AWS_reInforce_2022_reCap_Ja.pdf
byHayato Kiriyama
 
セキュリティ設計の頻出論点
byTomohiro Nakashima
 
Managed Service Provider(MSP)によるマルチOrganizations管理の裏側(Security JAWS 第24回 発表資料)
byNTT DATA Technology & Innovation
 
Security hub workshop
byRyuhei Shibata
 
aws-Organizations-aroud
bykota tomimatsu
 
JAWS DAYS 2018 Community-based Security
byHayato Kiriyama
 
AWS Organizations
byServerworks Co.,Ltd.
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
byAmazon Web Services Japan
 
AWSSummitTokyo2017 SRCセッション振り返り
byShogo Matsumoto
 
AWS Well-Architected Tool 活用術セミナー セキュリティ編
byNobuhiro Nakayama
 
AWS Black Belt Online Seminar 2018 ReInvent recap security other
byAmazon Web Services Japan
 
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
byNobuhiro Nakayama
 
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
byオラクルエンジニア通信
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
【IVS CTO Night & Day】AWS Cloud Security
byAmazon Web Services Japan
 
20190919 よくご相談いただくセキュリティの質問と考え方
byAmazon Web Services Japan
 
PenTesterが知っている危ないAWS環境の共通点
byzaki4649
 
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
bySORACOM, INC
 
20191125 Container Security
byAmazon Web Services Japan
 
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
byAmazon Web Services Japan
 
AWS_reInforce_2022_reCap_Ja.pdf
byHayato Kiriyama
 

More from NTT DATA Technology & Innovation

PDF
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
SAFe実践から見えた、フレームワークより大切な組織変革の道程(Scrum Fest Sendai 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
開発中の新機能 Spark Declarative Pipeline に飛びついてみたが難しかった(JEDAI DAIS Recap#2 講演資料)
byNTT DATA Technology & Innovation
 
PDF
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
PGConf.dev 2025 参加レポート (JPUG総会併設セミナー2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Can We Use Rust to Develop Extensions for PostgreSQL? (POSETTE: An Event for ...
byNTT DATA Technology & Innovation
 
PDF
つくって壊して直して学ぶ Database on Kubernetes (CloudNative Days Summer 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
2025年現在のNewSQL (最強DB講義 #36 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Java in Japan: A Journey of Community, Culture, and Global Integration (JavaO...
byNTT DATA Technology & Innovation
 
PDF
Unveiling the Hidden Layers of Java Class Files: Beyond Bytecode (Devnexus 2025)
byNTT DATA Technology & Innovation
 
PDF
論理レプリケーションのアーキテクチャ (第52回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
実はアナタの身近にある!? Linux のチェックポイント/レストア機能 (NTT Tech Conference 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Apache Sparkに対するKubernetesのNUMAノードを意識したリソース割り当ての性能効果 (Open Source Conference ...
byNTT DATA Technology & Innovation
 
PDF
PostgreSQL最新動向 ~カラムナストアから生成AI連携まで~ (Open Source Conference 2025 Tokyo/Spring ...
byNTT DATA Technology & Innovation
 
PDF
pgbenchのスレッドとクライアント (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
PostgreSQLのgitレポジトリから見える2024年の開発状況 (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
ストリーム処理はデータを失うから怖い?それ、何とかできますよ! 〜Apahe Kafkaを用いたストリーム処理における送達保証〜 (Open Source...
byNTT DATA Technology & Innovation
 
PDF
生成AI時代のPostgreSQLハイブリッド検索 (第50回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
DAIS2024参加報告 ~Spark中心にしらべてみた~ (JEDAI DAIS Recap 講演資料)
byNTT DATA Technology & Innovation
 
PDF
PostgreSQLのHTAP適応について考える (PostgreSQL Conference Japan 2024 講演資料)
byNTT DATA Technology & Innovation
 
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
SAFe実践から見えた、フレームワークより大切な組織変革の道程(Scrum Fest Sendai 2025 発表資料)
byNTT DATA Technology & Innovation
 
開発中の新機能 Spark Declarative Pipeline に飛びついてみたが難しかった(JEDAI DAIS Recap#2 講演資料)
byNTT DATA Technology & Innovation
 
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
byNTT DATA Technology & Innovation
 
PGConf.dev 2025 参加レポート (JPUG総会併設セミナー2025 発表資料)
byNTT DATA Technology & Innovation
 
Can We Use Rust to Develop Extensions for PostgreSQL? (POSETTE: An Event for ...
byNTT DATA Technology & Innovation
 
つくって壊して直して学ぶ Database on Kubernetes (CloudNative Days Summer 2025 発表資料)
byNTT DATA Technology & Innovation
 
2025年現在のNewSQL (最強DB講義 #36 発表資料)
byNTT DATA Technology & Innovation
 
Java in Japan: A Journey of Community, Culture, and Global Integration (JavaO...
byNTT DATA Technology & Innovation
 
Unveiling the Hidden Layers of Java Class Files: Beyond Bytecode (Devnexus 2025)
byNTT DATA Technology & Innovation
 
論理レプリケーションのアーキテクチャ (第52回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
実はアナタの身近にある!? Linux のチェックポイント/レストア機能 (NTT Tech Conference 2025 発表資料)
byNTT DATA Technology & Innovation
 
Apache Sparkに対するKubernetesのNUMAノードを意識したリソース割り当ての性能効果 (Open Source Conference ...
byNTT DATA Technology & Innovation
 
PostgreSQL最新動向 ~カラムナストアから生成AI連携まで~ (Open Source Conference 2025 Tokyo/Spring ...
byNTT DATA Technology & Innovation
 
pgbenchのスレッドとクライアント (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PostgreSQLのgitレポジトリから見える2024年の開発状況 (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
ストリーム処理はデータを失うから怖い?それ、何とかできますよ! 〜Apahe Kafkaを用いたストリーム処理における送達保証〜 (Open Source...
byNTT DATA Technology & Innovation
 
生成AI時代のPostgreSQLハイブリッド検索 (第50回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
DAIS2024参加報告 ~Spark中心にしらべてみた~ (JEDAI DAIS Recap 講演資料)
byNTT DATA Technology & Innovation
 
PostgreSQLのHTAP適応について考える (PostgreSQL Conference Japan 2024 講演資料)
byNTT DATA Technology & Innovation
 

AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)

  • 1.
    © 2022 NTTDATA Corporation [Security JAWS 第26回] AWS Organizations連携サービスの罠 2022/8/25 株式会社NTTデータ 奥村康晃
  • 2.
    © 2022 NTTDATA Corporation 2 自己紹介 氏名:奥村 康晃 所属:NTTデータ ビジネスソリューション事業本部 データセンタ&クラウドサービス事業部 役割: - クラウド分野における技術リード - 先進技術のソリューション取り込み 好きなAWSサービス: - Organizations Security JAWS登壇: - Managed Service Provider(MSP)によるマルチOrganizations管理の裏側 - https://www.slideshare.net/nttdata-tech/managed-service-provider- security-jaws-24
  • 3.
    © 2022 NTTDATA Corporation 3 本セッションをやろうと思った背景 Organizationsが一般的に利用されることが多くなり、それに伴いOrganizationsと連携が 可能なAWSサービスを使いたいというご相談を受けることが増えてきた あまり検討をされずに使い始めてしまうと、後から設計(設定)変更を余儀なくされたり、使わ れなくなったりという不幸なことが起きてしまう できればこうしたことを未然に防ぎたいと思い、ぜひともノウハウ共有させていただければと、登壇 させていただいた!
  • 4.
    © 2022 NTTDATA Corporation 4 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 5.
    © 2022 NTTDATA Corporation 5 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 6.
    © 2022 NTTDATA Corporation 6 AWS Organizations連携サービスとは? • AWS Organizations と連携することでマルチアカウントの情報を集約管理したり、一括 制御することができるサービス群 • 現時点で30を超えるAWSサービスがAWS Organizationsと連携が可能 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html • AWSマルチアカウント環境を効率的に集約管理できそうな仕組みではあるが、実運用上ハ マりやすいいくつかの『罠』が散りばめられている • 本セッションでは、セキュリティサービスである下記4つのサービスについて、Organizations 連携サービスの『罠』について、紹介する 1. AWS Config 2. AWS Security Hub 3. Amazon Detective 4. IAM(組織アクティビティ)
  • 7.
    © 2022 NTTDATA Corporation 7 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 8.
    © 2022 NTTDATA Corporation 8 AWS Config Organizationsと連携するとできることは? • 組織のメンバーアカウントのAWS Configで記録しているAWSリソース構成情報をまとめて表示可能 • Configルールの評価結果をまとめて表示することも可能
  • 9.
    © 2022 NTTDATA Corporation 9 AWS Configの罠 Organizations連携をしても、組織内のすべてのメンバーアカウントのAWS Configを有効化すること はできないため、一括有効化の方法は別途検討する必要がある。 また同様に、Configルールの一括配布もできないため、一括配布が必要な場合も検討が必要 AWS Cloud AWS Config AWS Cloud AWS Config AWS Cloud AWS Config ・ ・ ・ × 無効→有効 rule rule rule × ルール配布 メンバーアカウント メンバーアカウント Config管理アカウント
  • 10.
    © 2022 NTTDATA Corporation 10 AWS Configの罠への対応策 1/2 Config有効化およびConfigルールの配布をAWS純正サービスで実現しようとする場合、AWS CloudFormation StackSetsがオススメ! CloudFormation StackSetsとは? 1つのAWS CloudFormationテンプレートを使用して、複数のAWSアカウントにスタックを作成できる AWS Cloud CloudFormation StackSets管理アカウント Stack Template AWS Cloud AWS Cloud Stack Stack Sets OUや AWSアカウント単位 で指定可能
  • 11.
    © 2022 NTTDATA Corporation 11 AWS Configの罠への対応策 2/2 AWS Configの有効化やConfigルールの作成はCloudFormationで実現できるため、 CloudFormation StackSetsを利用することで、組織内のすべてのメンバーアカウントに一律の設定が 可能 https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html
  • 12.
    © 2022 NTTDATA Corporation 12 【参考】CloudTrailはOrganizations連携をすると一括有効化が可能 CloudTrailはOrganizations連携を行っていれば、 組織内のすべてのアカウントを一括で有効化が可能です。
  • 13.
    © 2022 NTTDATA Corporation 13 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 14.
    © 2022 NTTDATA Corporation 14 AWS Security Hub Organizationsと連携するとできることは? • 組織のメンバーアカウントのAWS Security Hubの検査結果をまとめて表示可能 • 組織のメンバーアカウントのAWS Security Hubを一括で有効化 A A B B
  • 15.
    © 2022 NTTDATA Corporation 15 AWS Security Hubの罠 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。
  • 16.
    © 2022 NTTDATA Corporation 16 Organizations連携サービスにおけるアカウントの関係性 1/2 AWS Cloud AWS Cloud AWS Cloud AWS Cloud メンバー アカウント =Linked アカウント 管理アカウント =Payerアカウント Organizations Organizationsは管理アカウントとメンバーアカウントの関係性があり、特に何も設定をしなければ、管 理アカウントに情報が集約されていく ただ、管理アカウントは請求情報などのセンシティブなデータがあるため、極力利用しないのがベストプラク ティス(https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)
  • 17.
    © 2022 NTTDATA Corporation 17 Organizations連携サービスにおけるアカウントの関係性 2/2 AWS Cloud AWS Cloud AWS Cloud AWS Cloud 委任管理者 アカウント 管理アカウント =Payerアカウント Organizations メンバーアカウントの中から委任管理者(そのサービスの親となるアカウント)を指定することができる 各サービスで委任管理者を指定することができるため、場合によってはサービスごとに委任管理者が異な ることも起きてしまう。 委任管理者 アカウント サービスA サービスB
  • 18.
    © 2022 NTTDATA Corporation 18 AWS Security Hubの罠 1/4 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。 Security HubとDetectiveの 委任管理者を同一アカウントに しておくと・・・ Security HubとDetectiveの例
  • 19.
    © 2022 NTTDATA Corporation 19 AWS Security Hubの罠 2/4 Detectiveの詳細画面へ遷移可能
  • 20.
    © 2022 NTTDATA Corporation 20 AWS Security Hubの罠 3/4 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。 Security HubとDetectiveの 委任管理者を別々のアカウントに しておくと・・・ Security HubとDetectiveの例
  • 21.
    © 2022 NTTDATA Corporation 21 AWS Security Hubの罠 4/4 Detectiveの詳細画面へ遷移不可
  • 22.
    © 2022 NTTDATA Corporation 22 別々の委任管理アカウントを指定してしまった場合の影響 すべてのSecurity Hub統合サービスに影響があるわけではなく、 MacieやInspectorではSecurity Hubで実現できなくなる機能が増えるわけではない。 いくつか試した中で機能差分が確認できたものは、DetectiveとGuardDuty。 とはいえ、公式ドキュメントにもSecurity Hub統合サービスの委任管理者は同一アカウントとすべきとい うガイドが出ているため、特に理由がなければ、同一アカウントにそろえておくべき https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-account-restrictions-recommendations.html#securityhub-coordinate-admins
  • 23.
    © 2022 NTTDATA Corporation 23 【参考】芋づる式に検討が増えるOrganizations連携サービス Security HubではConfigの有効化が必須なので、芋づる式に検討が必要なサービスが増える このように複数のサービスが利用前提となっているものとして下記があるので、事前に検討が必要。 ※CloudFormation StackSetsは必須ではなく、実運用上必要となることが多いため記載 # サービス名 利用前提サービス 1 AWS Control Tower 5つ (AWS CloudTrail, AWS Config, AWS CloudFormation Stacksets, AWS Single Sign-On, AWS Service Catalog) 2 AWS Firewall Manager 3つ (AWS CloudFormation Stacksets, AWS Config, AWS Resource Access Manager) 3 AWS Security Hub 2つ (AWS Config, AWS CloudFormation Stacksets) 4 AWS Audit Manager 3つ (AWS Security Hub, AWS Config, AWS CloudFormation Stacksets) 5 Amazon Detective 2つ (Amazon GuardDuty, AWS CloudFormation Stacksets)
  • 24.
    © 2022 NTTDATA Corporation 24 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 25.
    © 2022 NTTDATA Corporation 25 Amazon Detective Organizationsと連携するとできることは? • 各メンバーアカウント内の検知情報の集約表示も可能 • 組織に新規追加されたメンバーアカウントのAmazon Detectiveを自動で有効化 A B B B B A A
  • 26.
    © 2022 NTTDATA Corporation 26 Amazon Detectiveの罠 1/2 GuardDutyの有効化後48時間経過しないと、Detectiveを有効化できない https://aws.amazon.com/jp/detective/faqs/ この仕様は委任管理者の設定にも有効であり、GuardDutyの委任管理者設定後、48時間経過しな いと、Detectiveの委任管理者設定ができない 管理アカウント 委任アカウント GuardDuty 委任管理 アカウント設定 GuardDuty 有効 48時間 Detective 委任管理 アカウント設定 Detective 有効
  • 27.
    © 2022 NTTDATA Corporation 27 Amazon Detectiveの罠 2/2 GuardDuty有効化後48時間経過していない状態で委任管理アカウントを指定すると、 下記のようにエラーが発生。 この制約は、新規追加したAWSアカウントのDetective自動有効化にも適用されるため、組織に新規 追加されたAWSアカウントのDetectiveが有効化されるのには48時間待機が必要
  • 28.
    © 2022 NTTDATA Corporation 28 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 29.
    © 2022 NTTDATA Corporation 29 IAM(組織アクティビティ) Organizationsと連携するとできることは? • 組織内のAWSサービスを最後に利用したAWSアカウントを把握することができる(IAMアクセスアナ ライザーの組織版)
  • 30.
    © 2022 NTTDATA Corporation 30 IAM(組織アクティビティ)の罠 一見すごいよさそうに見えるが、対象や操作者はそれぞれかなり粗い粒度でしか見えない 対象:サービスまで(アクションは見えない) 操作者:AWSアカウントまで(IAMレベルでは見えない) 対象 操作者 また、記録されるのはSCPで許可されているサービスのみであるため、 Denyされているサービスへのアクセスを確認するといった用途でも利用ができない
  • 31.
    © 2022 NTTDATA Corporation 31 【参考】管理アカウントでしか利用できないサービス IAM(組織アクティビティ)は、管理アカウントでしか利用できないOrganizations連携サービス そのほかにも下記のサービスが管理アカウントでしか利用できない。管理アカウントはSCPによる制御がで きないため、開放する際はIAMポリシーによる厳密な制御が必要 • AWS Artifact • AWS Backup • AWS CloudTrail • AWS Compute Optimizer • AWS Control Tower • AWS Directory Service • AWS Health • AWS Marketplace • AWS Resource Access Manager • Service Quotas • タグポリシー • AWS Trusted Advisor • AWS Well-Architected Tool
  • 32.
    © 2022 NTTDATA Corporation 32 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 33.
    © 2022 NTTDATA Corporation 33 まとめ • Organizations連携サービスの『罠』を紹介 1. Config → 一括有効化やルール配布方法の検討が必要 2. Security Hub → 同一AWSアカウントを委任管理者へ設定しないとすべての機能 を利用できない 3. Detective → 前提サービスであるGuardDutyの有効化後48時間経過しないと、 有効化ができない 4. IAM(組織アクティビティ) → 表示できる情報はかなり粗いものだけ • 現時点では注意ポイントはいくつかあるものの、マルチアカウント環境を集中管理できること のメリットは大きいので、本日紹介した点などを事前に検討いただきながら、ぜひとも積極的 にご活用いただきたい!
  • 34.
    © 2022 NTTDATA Corporation

Editor's Notes

  • #26 セキュリティデータの分析、視覚化をして、潜在的なセキュリティ問題の調査、根本原因を迅速に特定を支援するサービス